点击劫持

点击劫持（clickjacking）是一种在网页中将恶意代码等隐藏在看似无害的内容（如按钮）之下，并诱使用户点击的手段。^[1]^[2]^[3]^[4]该术语最早由雷米亚·格罗斯曼（Jeremiah Grossman）与罗伯特·汉森（Robert Hansen）于2008年提出。这种行为又被称为界面伪装（UI redressing）。

点击劫持可以被看成是责任混淆问题（confused deputy problem）的一个实例。^[5]

举例来说，如用户收到一封包含一段视频的电子邮件，但其中的“播放”按钮并不会真正播放视频，而是链入一购物网站。这样当用户试图“播放视频”时，实际是被诱骗而进入了一个购物网站。

通过在客户端安装NoScript或NoClickjack扩展等手段可以防止点击劫持的发生。^[6]

参见[编辑]

参考资料[编辑]

^ Robert McMillan. At Adobe's request, hackers nix 'clickjacking' talk. PC World. 2008-09-17 [2008-10-08]. （原始内容存档于2015-07-17）.
^ Megha Dhawan. Beware, clickjackers on the prowl. India Times. 2008-09-29 [2008-10-08]. （原始内容存档于2009-07-24）.
^ Dan Goodin. Net game turns PC into undercover surveillance zombie. The Register. 2008-10-07 [2008-10-08]. （原始内容存档于2018-12-04）.
^ Fredrick Lane. Web Surfers Face Dangerous New Threat: 'Clickjacking'. newsfactor.com. 2008-10-08 [2008-10-08]. （原始内容存档于2008-10-13）.
^ The Confused Deputy rides again! （页面存档备份，存于互联网档案馆）, Tyler Close, October 2008
^ Giorgio Maone. Hello ClearClick, Goodbye Clickjacking. hackademix.net. 2008-10-08 [2008-10-27]. （原始内容存档于2021-03-05）.

[1] Robert McMillan. At Adobe's request, hackers nix 'clickjacking' talk. PC World. 2008-09-17 [2008-10-08]. （原始内容存档于2015-07-17）.

[2] Megha Dhawan. Beware, clickjackers on the prowl. India Times. 2008-09-29 [2008-10-08]. （原始内容存档于2009-07-24）.

[3] Dan Goodin. Net game turns PC into undercover surveillance zombie. The Register. 2008-10-07 [2008-10-08]. （原始内容存档于2018-12-04）.

[4] Fredrick Lane. Web Surfers Face Dangerous New Threat: 'Clickjacking'. newsfactor.com. 2008-10-08 [2008-10-08]. （原始内容存档于2008-10-13）.

[5] The Confused Deputy rides again! （页面存档备份，存于互联网档案馆）, Tyler Close, October 2008

[6] Giorgio Maone. Hello ClearClick, Goodbye Clickjacking. hackademix.net. 2008-10-08 [2008-10-27]. （原始内容存档于2021-03-05）.

[1]

[2]

[3]

[4]

[5]

[6]